Bases de la sécurité
Règles des mots de passe NIST 800-63B : directives modernes
NIST 800-63B redéfinit la sécurité des mots de passe en privilégiant l'usabilité et l'entropie plutôt que la complexité arbitraire. Ce guide explique les nouvelles règles des mots de passe et comment elles s'alignent sur les meilleures pratiques actuelles d'authentification.
Lecture essentielle
2 min de lectureMis à jour: 27/03/2026Auteur: GeneratePasswordTo Editorial Team
Changements clés dans NIST 800-63B
La norme NIST 800-63B marque un changement majeur dans la gestion des mots de passe. Les exigences traditionnelles telles que l'obligation de changer régulièrement de mot de passe ou les règles complexes de composition se sont révélées peu efficaces, voire contre-productives. Ces pratiques poussaient souvent les utilisateurs à créer des mots de passe prévisibles ou à recourir à des méthodes peu sûres pour les mémoriser. Le nouveau cadre met l'accent sur l'usabilité et la sécurité réelle, mesurée par l'entropie, plutôt que sur des règles arbitraires concernant les symboles et chiffres.
L'une des recommandations centrales consiste à privilégier l'utilisation de phrases comme mots de passe. Plutôt que de forcer des combinaisons complexes et courtes, NIST 800-63B encourage les phrases longues et mémorables. Par exemple, une phrase telle que « SoleilBleuHerbeVerte2026 » combine longueur et imprévisibilité, rendant les attaques par force brute ou par dictionnaire beaucoup moins efficaces qu'avec un mot de passe court et complexe comme « P@ssw0rd!23 ». Cette approche permet d'augmenter l'entropie et la sécurité tout en restant mémorisable.
Les politiques centrées sur l'utilisateur jouent également un rôle clé. Les utilisateurs doivent pouvoir choisir des mots de passe ou des phrases qu'ils peuvent retenir sans compromettre la sécurité. Cela réduit le risque de comportements dangereux tels que la réutilisation systématique de mots de passe ou la prise de notes écrites. Une liberté de choix encadrée par des recommandations claires améliore la sécurité grâce à des habitudes plus durables et responsables.
La norme met aussi l'accent sur l'authentification multifactorielle (MFA) pour les systèmes à risque élevé. L'ajout de facteurs supplémentaires réduit la dépendance aux mots de passe seuls et renforce la sécurité. En combinant "ce que l'utilisateur sait" avec "ce que l'utilisateur possède" ou "ce que l'utilisateur est", le système d'authentification devient nettement plus résistant aux compromissions.
D'autres pratiques recommandées incluent l'élimination des règles de complexité obsolètes, la suppression de l'expiration forcée et des indices de récupération vulnérables, ainsi que la vérification des mots de passe contre des listes de mots de passe couramment utilisés ou compromis. Ces mesures permettent d'augmenter la sécurité sans nuire à l'expérience utilisateur.
En résumé, NIST 800-63B modernise la politique des mots de passe en mettant l'accent sur les phrases, l'entropie et l'utilisation de la MFA, plutôt que sur des règles arbitraires de complexité. Les organisations adoptant ces recommandations bénéficient d'un équilibre optimal entre sécurité élevée et facilité d'utilisation, tout en réduisant les risques liés aux compromissions de données.
- Aucune obligation de changement régulier de mot de passe.
- Préférence pour les phrases longues et mémorables plutôt que les mots de passe courts et complexes.
- Politiques centrées sur l'utilisateur pour faciliter la mémorisation et la sécurité.
- MFA obligatoire pour les systèmes à risque élevé.
- Vérification contre les mots de passe communs ou compromis.
- Suppression des règles de complexité et des indices de récupération obsolètes.
Conseils associés
Étapes suivantes